开发人员更关注修复建议
支持一键修复所有漏洞
DIANCHE SERIES
电掣 系列
PRODUCT INTRODUCTION
产品简介
以主动方式管理开源组件安全和合规风险,支持源代码和二进制二种扫描模式,提供对开源组件软件成份识别,安全漏洞分析,许可证合法性分析,并支持与开发流程和代码仓库集成,实现开源软件安全的持续性合规治理。
MAJOR FUNCTION
主要功能
组件识别
-
通过项目检测功能- 调用不同检测引擎分析项目及识别风险
- 以检测不同语言及文件识别所有开源及三方组件
-
通过完成OSS物料清单- 以确定哪些是易受攻击的组件,哪些是不易受攻击的组件
-
通过组件完成基线- 按项目或组件归类统一梳理组件基线
- 利用组件详情识别关联性并输出清单
-
漏洞识别及管理
- SCA的各种漏洞信息来自于多种渠道,包括:NVD, CNVD, CNNVD, SCMs (如Github, Gitlab, Bitbucket等)
- 还有来自流行库上的公共提交,如Bugzilla和Confluence等漏洞追踪器
- 每6小时更新16TB的数据
- 支持所有流行的开源库
-
可采取的修复建议
- 开发人员可以实现的根级别修复,包括兼容性分析
- 相关参考链接均来自于已经核实过的来源
- 加速漏洞修复和应用上线时间
- 通过明确委派对应的漏洞修复和跟踪人员,来实现 内置问题的管理
- JIRA/Github集成
-
合规管理
- 许可和策略管理系统
- 可根据每个企业不同的需求,进行策略的实施
- 可根据库的使用年限进行策略制定
- 可基于限制性许可条款和特定库名称制定策略
-
SDLC集成
- 为开发人员在开发时提供的IDE集成
- 提供源代码管理集成,便于扫描和检测代码更改
- 提供持续集成工具,用于在编译、打包时触发自动扫描
- 提供问题管理工具,当监测到代码漏洞时会主动向开发人员发出告警
PRODUCT HIGHLIGHTS
产品亮点
-
对于种类繁杂的语言及二进制格式均精准检测组件识别
- 源代码包管理器引擎
- C/C++源码扫描引擎
- 代码片段克隆扫描引擎
- 二进制扫描引擎
-
强大的漏洞知识库提高产品检测精准度漏洞分析
- 开源组件漏洞识别
- 漏洞可达性分析(静态)
- 组件级漏洞修复建议
- 组件级兼容性分析
-
确保许可证合理使用规避安全及法律风险许可证分析
- 组件许可证识别
- 文本级许可证识别
- 代码克隆级许可证识别
- 项目-组件许可证冲突分析
- 组件-组件许可证冲突分析衡
-
强大的开发能力提供不同流水线集成为开发赋能集成能力
- CI/CD流水线集成
- 代码仓/制品仓集成 (Jfrog Artifactory , Nexus)
400-188-5255 
